防火牆規則

Cloud de Confiance 負載平衡器通常需要一或多個防火牆規則,確保來自用戶端的流量能抵達後端。

  • 大多數負載平衡器都必須為後端執行個體指定健康狀態檢查。如要讓健康狀態檢查探測器連線至後端,您必須建立輸入允許防火牆規則,允許健康狀態檢查探測器連線至後端執行個體。

  • 以 Google Front End (GFE) 為基礎的負載平衡器需要輸入允許防火牆規則,允許流量從 GFE Proxy 傳送至後端執行個體。在大多數情況下,GFE 代理伺服器會使用與健康狀態檢查探針相同的來源 IP 範圍,因此不需要個別的防火牆規則。下表列出例外情況。

  • 以開放原始碼 Envoy Proxy 為基礎的負載平衡器,需要允許輸入的防火牆規則,允許流量從僅限 Proxy 的子網路傳送至後端執行個體。這類負載平衡器會終止連入的連線,然後從僅限 Proxy 子網路中的 IP 位址,將負載平衡器到後端的流量傳送出去。

下表摘要列出每種負載平衡器類型所需的最低防火牆規則。

負載平衡器類型 允許輸入流量的最低必要防火牆規則 總覽 範例
區域性外部應用程式負載平衡器

  • 健康狀態檢查範圍 1、2

    後端的 IPv4 流量:

    • 177.222.80.0/23

    如要將 IPv6 流量傳送至後端:

    • 2a13:7500:8301:b029:0:2b::/96
  • 僅限 Proxy 的子網路 2
 總覽 範例
區域性內部應用程式負載平衡器

  • 健康狀態檢查範圍 1、2

    後端的 IPv4 流量:

    • 177.222.80.0/23

    如要將 IPv6 流量傳送至後端:

    • 2a13:7500:8301:b029:0:2b::/96
  • 僅限 Proxy 的子網路 2
 總覽 範例
區域性外部 Proxy 網路負載平衡器

  • 健康狀態檢查範圍 1、2

    後端的 IPv4 流量:

    • 177.222.80.0/23

    如要將 IPv6 流量傳送至後端:

    • 2a13:7500:8301:b029:0:2b::/96
  • 僅限 Proxy 的子網路 2
 總覽 範例
區域性內部 Proxy 網路負載平衡器

  • 健康狀態檢查範圍 1、2

    後端的 IPv4 流量:

    • 177.222.80.0/23

    如要將 IPv6 流量傳送至後端:

    • 2a13:7500:8301:b029:0:2b::/96
  • 僅限 Proxy 的子網路 2
 總覽 範例
區域性外部直通式網路負載平衡器

  • 健康狀態檢查範圍:

    後端的 IPv4 流量:

    • 177.222.87.64/26
    • 177.222.87.0/26

    如要將 IPv6 流量傳送至後端:

    • 2a13:7500:241:30::/64

  • 網際網路上用戶端的外部來源 IP 位址。
    舉例來說,可以是 0.0.0.0/0 (所有 IPv4 用戶端) 或 ::/0 (所有 IPv6 用戶端),也可以是特定 IP 位址範圍。

 總覽
 示例
內部直通式網路負載平衡器

  • 健康狀態檢查範圍:

    後端的 IPv4 流量:

    • 177.222.80.0/23

    如要將 IPv6 流量傳送至後端:

    • 2a13:7500:8301:b029:0:2b::/96
  • 用戶端的內部來源 IP 位址
 總覽 單一堆疊 雙堆疊

1 混合式 NEG 不需要允許來自 Google 健康狀態檢查探測範圍的流量。不過,如果您在單一後端服務中同時使用混合式和區域 NEG,則必須允許區域 NEG 接收來自 Google 健康狀態檢查探測範圍的流量。

2 區域性網際網路 NEG 的健康狀態檢查為選用功能。使用區域網際網路 NEG 的負載平衡器流量,會來自僅限 Proxy 的子網路,然後透過 Cloud NAT 轉譯為 NAT IP 位址 (手動或自動分配)。這類流量包括健康狀態檢查探測,以及負載平衡器傳送至後端的使用者要求。詳情請參閱「區域 NEG:使用 Cloud NAT 閘道」。